基础结构服务

有一种 Windows 基础架构服务:Norskale Infrastructure Service (NT SERVICE\Norskale Infrastructure Service)。它管理 Workspace Environment Management (WEM) 基础设施服务。帐户:LocalSystem 或属于运行基础结构服务的基础结构服务器上管理员用户组的指定用户帐户。

安装基础结构服务

重要:

  • 无法在域 Controller 上安装基础结构服务。Kerberos 身份验证问题会阻止基础结构服务在这种情况下工作。
  • 请勿在安装了 Delivery Controller 的服务器上安装基础结构服务。

使用数据收集通知:

  • 默认情况下,基础设施服务每晚都会收集关于 WEM 使用情况的匿名分析,并通过 HTTPS 将其立即发送到 Google Analytics 服务器。Analytics 收集符合 Citrix 隐私政策
  • 在安装或升级基础结构服务时,默认情况下会启用数据收集。要选择退出,请在 WEM 基础架构服务配置对话框 高级设置 选项卡中,选择 不帮助使用 Google Analytics 改进 Workspace Environment Management 选项。

要安装基础架构服务,请在基础架构服务器上运行 Citrix Workspace Environment Management Infrastructure Services.exe。默认情况下,“完成”设置选项安装 PowerShell SDK 模块。您可以使用“自定义”设置选项来阻止 SDK 安装,或者更改安装文件夹。默认情况下,基础架构服务会安装到以下文件夹中:C:\Program Files (x86)\Norskale\Norskale Infrastructure Services。默认情况下,PowerShell SDK 模块安装到以下文件夹中:C:\Program Files (x86)\Norskale\Norskale Infrastructure Services\SDK。有关 SDK 文档,请参阅 Citrix 开发人员文档

您可以使用以下参数自定义安装:

AgentPort:基础结构服务安装程序运行脚本,该脚本可在本地打开防火墙端口,以确保代理网络流量不会被阻止。AentPort 参数允许您配置打开哪个端口。默认端口为 8286。任何有效端口都是可接受的值。

AgentSyncPort:基础架构服务安装程序运行一个脚本,该脚本可在本地打开防火墙端口,以确保代理网络流量不会被阻止。通过代理同步端口参数,您可以配置打开哪个端口。默认端口为 8285。任何有效端口都是可接受的值。

AdminPort:基础架构服务安装程序运行脚本,该脚本可在本地打开防火墙端口,以确保代理网络流量不会被阻止AdminPort 参数允许您配置打开哪个端口。默认端口为 8284。任何有效端口都是可接受的值。

这些安装参数的语法是:

"path:\\to\\Citrix Workspace Environment Management Infrastructure Services Setup.exe" /v"argument1=\\"value1\\" argument2=\\"value2\\""

您可以选择静默安装或升级基础架构服务。语法如下:

  • .\setup.exe /s /v`“/qn CLOUD=0`”
    • setup.exe。让你用安装程序的文件名替换它。
    • /s。表示静默模式。
    • /v。将参数传递给 msiexec。
    • /qn。表示在安装过程中不显示任何用户界面。
    • CLOUD=0。表示本地部署。
  • 例如:
    • .\Citrix Workspace Environment Management Infrastructure Services.exe /s /v`“/qn CLOUD=0`”

创建服务主体名称

重要:

  • 不要为驻留在同一林中的单独域创建多个服务主体名称 (SPN)。环境中的所有基础结构服务必须使用相同的服务帐户运行。
  • 使用 负载平衡时,必须使用相同的服务帐户名称来安装和配置基础结构服务的所有实例。
  • 对于使用 AD 的 SQL 实例,Windows 身份验证是一种特定的身份验证方法。另一个选项是改用 SQL 帐户。

安装程序完成后,为基础结构服务创建 SPN。在 WEM 中,Kerberos 对代理、基础架构服务和域 Controller 之间的连接和通信进行身份验证。Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。必须在基础结构服务实例的登录帐户和在 SPN 中注册的帐户之间配置关系。因此,要符合 Kerberos 身份验证要求,请使用适合您环境的命令将 WEM SPN 配置为将其与已知 AD 帐户相关联:

  • 如果不使用 Windows 身份验证或负载平衡,请使用以下命令:
    • setspn -C -S Norskale/BrokerService [hostname]

    其中,[hostname] 为基础结构服务器的名称。

  • 如果使用 Windows 身份验证或负载平衡(需要 Windows 身份验证),请使用以下命令:
    • setspn -U -S Norskale/BrokerService [accountname]

    其中,[accountname] 为用于 Windows 身份验证的服务帐户的名称。

  • 如果使用 gMSA 解决方案,请使用以下命令:
    • setspn -C -S Norskale/BrokerService [gMSA]$

    其中 [gMSA] 为 gMSA 帐户的名称。

SPN 区分大小写。

组托管服务帐户

您可以为 WEM 实施组托管服务账户 (gMSA) 解决方案。使用 gMSA 解决方案,可以为新的 gMSA 委托人配置服务,密码管理由 Windows 处理。有关信息,请参阅 https://docs.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview。当 gMSA 用作服务委托人时,Windows 操作系统将管理帐户的密码,而不是依赖管理员来管理它。如果您稍后更改了该帐户的密码,则无需更改为基础结构服务配置的 Windows 帐户模拟设置。要为 WEM 实施 gMSA 解决方案,请执行以下步骤:

  1. 在域控制器上,创建 gMSA。有关创建 gMSA 的更多信息,请参阅 https://docs.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/getting-started-with-group-managed-service-accounts

  2. 将 Citrix WEM SPN 绑定到该帐户。有关 WEM SPN 的信息,请参阅 创建服务主体名称

  3. 配置 SQL Server 设置以使帐户能够访问数据库。
    1. 在主 SQL Server 上,导航到 “ 安全” > “登录名”,右键单击 “ 录”,然后选择 “ 新登录名”。
    2. 登录 - 新建窗口中,单击搜索
    3. “选择用户或组 ” 窗口中,按如下方式配置设置,然 单击 “确定” 退出该窗口。
      • 对象类型。仅选择服务帐号
      • 位置。选择 托管服务帐户
      • 对象名称。键入您在步骤 1 中创建的帐户名称。
    4. 在 “ 用户映射 ” 页面上,选择要应用 GmSA 的数据库,然后选择 db-owner 作为数据库的角色成员资格。
    5. 状态 页面上,验证是否选择了 授予启用 选项。
    6. 单击确定退出登录 - 新建窗口。
  4. 使用您添加的服务帐户启动 Norskale 基础设施服务。
    1. 在基础架构服务器上,打开 Windows 服务管理器,右键单击 Norskale Infrastructure Service,然后选择属性
    2. 在 “ 登录” 页面上 ,选择 “ 此帐户”,单击 “ 浏览”,然后按照步骤 3 的第三个子步骤中所述配置设置。
    3. 单击 确定 退出 Norskale 基础设施服务属性 窗口。
    4. 在 Windows 服务管理器中,重新启动 Norskale 基础架构服务。

配置负载平衡

提示:

使用 Citrix ADC 进行负载平衡一文文提供了有关如何配置 Citrix ADC 设备以对来自 WEM 管理控制台和 WEM 代理的传入请求进行负载均衡的详细信息。

要使用负载平衡服务配置 WEM,请执行以下操作:

  1. 为 WEM 基础结构服务创建 Windows 基础结构服务帐户以连接到 WEM 数据库。

  2. 创建 WEM 数据库时,选择将 Windows 身份验证用于基础结构服务数据库连接 选项,然后指定基础结构服务帐户名称。有关详细信息,请参阅创建 Workspace Environment Management 数据库

  3. 将每个基础架构服务配置为使用 Windows 身份验证而不是 SQL 身份验证连接到 SQL 数据库:选择 启用 Windows 帐户模拟 选项并提供基础结构服务帐户凭据。有关详细信息,请参阅配置基础架构服务

  4. 将 WEM 基础结构服务的 SPN 配置为使用基础结构服务帐户名称。有关详细信息,请参阅创建服务主体名称

    重要:

    在部署 WEM 环境之前,确定是使用服务帐户还是计算机帐户。部署 WEM 环境后,您无法切换回。例如,如果要在使用计算机帐户后对传入请求进行负载均衡,则必须使用计算机帐户而不是服务帐户。

  5. 创建一个虚拟 IP 地址 (VIP),该地址涵盖要放置在 VIP 后面的 基础结构服务器的数量。当代理连接到 VIP 时,VIP 覆盖的所有基础设施服务器都符合条件。

  6. 配置代理主机配置 GPO 时,请将基础结构服务器设置设置为 VIP,而不是任何单个基础结构服务器的地址。有关详细信息,请参阅安装和配置代理

  7. 管理控制台和基础结构服务之间的连接需要会话持久性。(不需要代理和基础结构服务之间的会话持久性。)我们建议您直接将每个管理控制台连接到基础架构服务服务器,而不是使用 VIP。

创建 Workspace Environment Management 数据库

提示:

您还可以使用 WEM PowerShell 软件开发工具包模块创建数据库。有关 SDK 文档,请参阅 Citrix 开发人员文档

注意:

  • 如果您正在为 SQL Server 使用 Windows 身份验证,请在具有系统管理员权限的标识下运行数据库创建实用程序。
  • Citrix 建议您将 WEM 数据库的主文件(.mdf 文件)配置为默认大小为 50 MB。

使用 WEM 数据库管理实用程序 创建数据库。这将在基础结构服务安装过程中安装,然后立即启动。

  1. 如果数据库管理实用程序尚未打开,请从开始菜单中选择 Citrix > Workspace Environment Management > WEM 数据库管理实用程序

    WEM 数据库管理实用程序

  2. 单击 创建数据库,然后单击 下一步

    WEM 数据库信息

  3. 键入以下数据库信息,然后单击 下一步

    • 服务器和实例名称。将托管数据库的 SQL Server 的地址。此地址必须与从基础结构服务器键入的完全相同。键入服务器和实例名称作为计算机名称、完全限定域名或 IP 地址。将完整实例地址指定为 serveraddress,port\instancename。如果未指定端口,则使用默认 SQL 端口号 (1433)。

    • 数据库名称。要创建的 SQL 数据库的名称。

    注意:

    数据库名称中不允许使用连字符 (-) 和破折号 (/) 等特殊字符。

    • 数据文件:SQL Server 上 .mdf 文件位置的路径。

    • 日志文件:SQL Server 上 .ldf 文件位置的路径。

    注意:

    数据库管理实用程序无法查询 SQL Server 中的数据和日志文件的默认位置。默认值默认为 MS SQL Server 的默认安装。请确保这两个字段中的值是正确的 MS SQL Server 安装,否则数据库创建过程将失败。

    WEM 数据库服务器凭据

  4. 提供向导可用于创建数据库的数据库服务器凭据,然后单击“下一步”。这些凭据独立于基础结构服务在创建数据库后连接到数据库时使用的凭据。它们不会被存储。

    默认情况下,选择 “ 使用集成连接 ” 选项。它允许向导使用其运行的身份的 Windows 帐户连接到 SQL 并创建数据库。如果此 Windows 帐户没有足够的权限来创建数据库,则可以作为具有足够权限的 Windows 帐户运行数据库管理实用程序,也可以清除此选项并提供具有足够权限的 SQL 帐户。

    WEM 数据库安全

  5. 输入 VUEM 管理员和数据库安全详细信息,然后单击 下一步。在创建数据库后,基础结构服务将使用您在此处提供的凭据连接到数据库。它们存储在数据库中。

    • 初始管理员组。此用户组已预先配置为管理控制台的“完全访问”管理员。只有配置为 Workspace Environment Management 管理员的用户才允许使用管理控制台。指定有效的用户组,否则您将无法自行使用管理控制台。

    • 使用 Windows 身份验证连接基础结构服务数据库清除此选项(默认值)后,数据库希望基础架构服务使用 vuemUser SQL 用户帐户连接到该选项。VuemUser SQL 用户帐户是通过安装过程创建的。这需要为 SQL 实例启用混合模式身份验证。

    选择此选项后,数据库希望基础结构服务使用 Windows 帐户连接到它。在这种情况下,您选择的 Windows 帐户必须尚未登录 SQL 实例。换句话说,您不能使用与用于创建数据库时相同的 Windows 帐户来运行基础结构服务。

    • 设置 vuemUser SQL 用户帐户密码。默认情况下,vuemUser SQL 帐户使用 8 个字符的密码创建,密码使用大小写字母、数字和标点符号。如果要输入自己的 vuemUser SQL 帐户密码(例如,如果 SQL 策略需要更复杂的密码),请选择此选项。

    重要:

    -  如果要在SQL Server AlwaysOn 可用性组中部署 Workspace Environment Management 数据库,则必须设置 vuemUser SQL 用户帐户密码。
    
  6. 在摘要窗格中,查看所选设置,然后在满意时单击 创建数据库

  7. 收到数据库创建成功完成的通知后,单击“ 成”退出向导。

    如果在数据库创建过程中发生错误,请检查基础架构服务安装目录中的日志文件“Citrix WEM Database Management Utility Debug Log.log”。

配置基础结构服务

提示:

您还可以使用 Workspace Environment Management PowerShell SDK 模块配置基础结构服务。有关 SDK 文档,请参阅 Citrix 开发人员文档

在运行基础结构服务之前,必须使用 WEM Infrastructure Service Configuration 实用程序对其进行配置,如此处所述。

  1. 开始菜单中选择 Citrix > Workspace Environment Management > WEM 基础结构服务配置实用程序

    基础架构服务配置数据库设

  2. 在“数据库设置”选项卡中输入以下详细信息:

    • 数据库服务器和实例。托管 Workspace Environment Management 数据库的 SQL Server 实例的地址。必须完全按照从基础结构服务器键入的方式访问此信息。将完整的实例地址指定为“serveraddress,port\instancename”。如果未指定端口,则使用默认 SQL 端口号 (1433)。

    • 数据库故障转移服务器和实如果使用数据库镜像,请在此处指定故障转移服务器地址。

    • 数据库名称。SQL 实例上的 Workspace Environment Management 数据库的名称。

    基础架构服务配置网络设置

  3. 在“网络设置”选项卡中键入基础结构服务使用的端口:

    • 管理端口。管理控制台使用此端口连接到基础架构服务。

    • 代理服务端口。您的代理主机使用此端口连接到基础结构服务。

    • 缓存同步端口。代理服务使用此端口将其缓存与基础结构服务同步。

    • WEM 监控端口。 [当前未使用。]

    基础架构服务配置高级设置

  4. 在“高级设置”选项卡中,输入模拟和自动刷新设置。

    • 启用 Windows 帐户模拟。默认情况下,此选项被清除,基础结构服务使用混合模式身份验证连接到数据库(使用在数据库创建过程中创建的 SQL 帐户 vuemUser )连接到数据库。如果在数据库创建过程中选择了 Windows 基础结构服务帐户,则必须选择此选项并指定相同的 Windows 帐户,以便在连接期间模拟基础结构服务。您选择的帐户必须是基础结构服务器上的本地管理员。

    • 设置 vuemUser SQL 用户帐户密码。允许您通知基础架构服务在数据库创建期间为 vuemUser SQL 用户配置的自定义密码。只有在数据库创建过程中提供了自己的密码时才启用此选项。

    • 基础架构服务缓存刷新延迟基础结构服务刷新其缓存之前的时间(以分钟为单位)。如果基础结构服务无法连接到 SQL,则使用缓存。

    • 基础设施服务 SQL 状态监视器延迟每个基础结构服务尝试轮询 SQL Server 之间的时间(以秒为单位)。

    • 基础设施服务 SQL 连接超时。在终止尝试并生成错误之前,基础结构服务在尝试与 SQL 服务器建立连接时等待的时间(以秒为单位)。

    • 启用调试模式。如果启用,则基础结构服务将设置为详细日志记录模式。

    • 即使在线也可以使用缓存。如果启用,基础结构服务将始终从其缓存中读取站点设置。

    • 启用性能调整。允许您在连接的代理数超过特定阈值(默认情况下为 200)的情况下优化性能。因此,代理或管理控制台连接到基础架构服务所需的时间更短。

      • 工作线程的最小数量。指定线程池根据需要创建的工作线程的最小数量。将工作线程的数量设置为 30-3000。根据已连接的座席数确定值。默认情况下,工作线程的最小数量为 200。
      • 异步 I/O 线程的最小数量。指定线程池根据需要创建的异步 I/O 线程的最小数量。将异步 I/O 线程的数量设置为 30-3000。根据已连接的座席数确定值。默认情况下,异步 I/O 线程的最小数量为 200。

    重要:

    当代理或管理控制台间歇性断开与基础结构服务的连接时,此功能特别有用。

    注意:

    在启用性能优化字段中设置的值将在发出新请求时以及切换到管理线程创建和销毁的算法之前使用。有关详细信息,请参阅https://docs.microsoft.com/en-us/dotnet/api/system.threading.threadpool.setminthreads?view=netframework-4.8https://support.microsoft.com/en-sg/help/2538826/wcf-service-may-scale-up-slowly-under-load

    • 使用 Google Analytics 帮助改进 Workspace Environment Management。如果选中此选项,基础架构服务将匿名分析发送到 Google Analytics 服务器。

    • 不要使用 Google Analytics 来改进 Workspace Environment Management。如果选中此选项,则基础架构服务不会向 Google 分析服务器发送匿名分析。

    基础架构服务配置数据库维

  5. 可以使用“数据库维护”选项卡配置数据库维护。

    • 启用计划的数据库维护。如果启用此设置,则会定期从数据库中删除旧统计记录。

    • 统计保留期。确定用户和代理统计信息的保留时间。默认值为 365 天。

    • 系统监控保留期。确定系统优化统计信息的保留时间。默认值为 90 天。

    • 代理注册的保留期。确定在数据库中保留代理注册日志的时间长度。默认值为 1 天。

    • 执行时间。确定执行数据库维护操作的时间。默认值为 02:00。

    基础架构服务配置许可

  6. 您可以选择使用许可选项卡在基础结构服务配置期间指定 Citrix 许可证服务器。如果未连接,则当管理控制台首次连接到新的 Workspace Environment Management 数据库时,必须在管理控制台功能区的 关于 选项卡中输入 Citrix 许可证服务器凭据。在这两种情况下,Citrix 许可证服务器信息都存储在数据库中的同一位置。

    • 全局许可证服务器覆盖。启用此选项可键入 Workspace Environment Management 所使用的 Citrix 许可证服务器的名称。您在此处键入的信息将覆盖 Workspace Environment Management 数据库中已存在的任何 Citrix 许可证服务器信息。

在您满意地配置基础结构服务后,单击 保存配置 以保存这些设置,然后退出基础结构服务配置实用程序。

基础结构服务